2024年8月23日,darkwebinformer报道称,一名代号为“USDoD”的巴西黑客被认定为美国历史上最大的数据泄露事件的主谋。此次事件涉及窃取了30亿条记录,涵盖了个人信息如全名、地址历史和家庭详细信息。该黑客与黑客行动主义和网络犯罪的联系可追溯到2017年,他入侵了多个公司和政府机构,包括FBI的InfraGard计划、空中客车和洛克希德马丁等大公司。
这名黑客被称为Luan,他通过出售被盗数据获利约350万美元。尽管他努力隐藏身份,但CrowdStrike的调查人员通过各种在线账户和交易追踪到他在巴西的活动。巴西科技新闻媒体TecMundo通过匿名消息来源收到的一份详尽的 CrowdStrike 报告显示,USDoD组织的可能领导人是一位名叫Luan BG的33岁男子,居住在巴西米纳斯吉拉斯州。与其有关的所有信息均已移交给当局。其中,可以识别税务登记、电子邮件地址、注册域名、IP地址、社交媒体帐户、电话号码和城市。更准确的信息没有透露给TecMundo,以免完全暴露攻击者的身份。案件凸显了现代网络犯罪的全球影响力和复杂性,表明网络犯罪分子能够跨越国界实施大规模攻击。
关键发现
0、背景:几个月前,CrowdStrike的威胁情报团队与威胁行为者“USDoD”或“Equation Corp”进行了接触。此次对话旨在深入了解其行动、动机和策略。研究者有意推迟发布这些见解,直到他被公众知晓。USDoD曾使用Twitter账户@equationcorp。该账户的简介是“我保护蜂巢。当系统失去平衡时,我会纠正它”
1. 入侵范围:USDoD确认最新的入侵涉及多所大学,而不仅仅是一所机构。这表明教育领域的目标范围很广。
2. 国家支持:他否认自己是受国家支持的行为者,称自己是一支资源有限但技能高超的“单人军队”。他声称,这种独立性使他能够在没有任何国家或大型组织支持的情况下开展行动。
3. 社会政治影响:USDoD表示他不受社会政治局势的影响。值得注意的是,他避免攻击目前处于战争或内乱中的国家,因为他声称要避免加剧现有的混乱局面。
4. 动机:他的主要动机是挑战本身。系统越安全,他就越有决心要攻破它。这种“真正的挑战”的驱动力似乎推动了他针对知名实体的行动。
5. 目标策略:USDoD强调他专注于一次针对一个实体,他认为这有助于他获得高成功率。他避免大规模攻击,不自动化他的流程,而是依靠精确性和彻底性。
6. 目标选择因素:他透露,没有特定的内部或外部因素指导他选择新目标。他的选择似乎纯粹是出于他对每个目标所带来的挑战的个人兴趣。
7. 针对国防实体:当被问及他为何以北约等国防组织为目标时,USDoD重申他对挑战的热爱,并引用了他之前表达这种情绪的采访。
8. 害怕被捕:USDoD声称不担心被国际刑警组织等机构抓获或抓获。这表明他要么对自己的行动安全有很高的信心,要么对自己行为的潜在后果漠不关心。
9. 网上匿名:有趣的是,USDoD淡化了他的匿名性,表明他愿意亲自见面进行随意互动,这表明他可能低估了所涉及的风险,或者是故意淡化他的身份。
结论:这次互动让我们得以一窥威胁行为者的心态,他受个人挑战而非政治动机或经济利益的驱使。他的方法很有条理,精准地关注个别高调目标。然而,必须记住,尽管他们声称如此,但这些人物对全球网络安全构成了重大风险,不应以任何方式被浪漫化或美化。
确定USDoD身份的三个关键
CrowdStrike的调查指出,USDoD领导人Luan BG有着长期的黑客活动历史,从2017年开始一直到2022年,当时他可能开始了更复杂的网络犯罪活动。
这里需要快速解释一下:黑客行动主义并不一定意味着涉及犯罪。例如,它可能只涉及维护带有政治宣言的社交媒体帐户。
在本案中,黑客行动主义与Luan实施的网络犯罪之间的联系是由于该行为者在社交媒体资料上使用了相同的描述。
“ 2022年底以来,CrowdStrike Intelligence一直在跟踪USDoD,当时该行为者首次声称已从美国公私情报共享合作伙伴关系中获取了数据。从那时起,CrowdStrike Intelligence又报告了USDoD的活动12 次,”该公司表示。
突破口之一:邮箱账户
2017年至2022年间,Luan仅使用一封电子邮件(“luanbgs22@”)在不同论坛上创建帐户
同一封电子邮件还被用来通过开源网络攻击工具对GitHub页面进行编辑
同一邮箱注册域名推广网络攻击工具项目
同一封电子邮件与Luan的多个个人帐户相关联
自2017年以来,同一电子邮件在Medium上注册了“NatSec”名称,以创建有关恶意软件的出版物
由于电子邮件和Medium上的出版物,可以到达Luan的Instagram,其中包含“我保护蜂巢”这句话。当系统失去平衡时,我会纠正”。
相同的短语和电子邮件与@equationcorp Twitter帐户相关联
在论坛和社交网络的不同出版物中,除了“NatSec”之外,Luan BG还与不同的昵称联系在一起:NetSec、LLTV、LBG91和Labs22。
CrowdStrike表示,由于Luan BG在工作之初并没有太多黑客行动方面的技术知识,因此识别起来比较容易,尤其是个人资料照片和电子邮件的收集。
突破口之二:网络犯罪的虚荣心
虚荣心是针对大公司发起攻击的网络犯罪分子的一个共同特征。2021年至2022年间,另一个团体闻名于世:Lapsus。
Lapsus从三星、Claro、卫生部、Rockstar、NVIDIA、JBS等许多公司和机构获取了敏感数据。犯罪手段包括获得对系统的特权访问以及勒索不透露所访问的内容。
这并不难:研究者在2022年1月采访了Lapsus的领导人。文章《网络犯罪与认可奇观:Lapsus 访谈》一文揭露了因行动而产生的虚荣心。
USDoD并没有采取不同的道路。该网络犯罪团伙的头目在2023年接受了 DataBreaches.net网站的采访,最终也帮助他的身份得到了确认。
在采访中,USDoD声称自己年龄在30岁左右,拥有巴西和葡萄牙双重国籍。此外,今天他的居住地将是西班牙。
“USDoD声称它于1999年加入巴西游戏社区后开始,”DataBreachs写道。“当时他11岁,他说他能够利用社交技巧帮助抓捕恋童癖者。他还声称,该社区的一位版主也是r3x软件的开发人员,将他置于自己的羽翼之下,鼓励并帮助他发展技能。他说凯文·米特尼克也给他留下了深刻的印象。”
巴西平台Vydar的博客今年7月在调查后也指出了USDoD的国籍。
CrowdStrike在有关Luan BG的报告中表示,尽管他声称拥有巴西国籍,但 USDoD始终表示他居住在不同的欧洲国家。尽管如此,他可能意识到自己会泄露太多信息,因此于2023年在X(以前称为 witter)上宣称“我的公开信息的所有方面都是错误信息”,并表示事实上他拥有北美公民身份。
突破口之三:IP地址和财务信息
不仅是泄密和梳理论坛上的电子邮件和帐户,Luan BG在互联网上的活动也因其 IP地址而被跟踪。
2024年7月,网络犯罪论坛BreachForums遭遇泄密,甚至暴露了其用户的IP。有了这些材料,CrowdStrike发现Luan从动态IPv4地址和多个IPv6地址发送了消息,这些地址属于米纳斯吉拉斯州一家拥有GeoIP的巴西ISP。
该公司表示:“根据CrowdStrike的敏感消息来源,财务记录还曾在2024年中期将USDoD与巴西联系起来,当时负责@equationcorp Twitter帐户的个人使用巴西金融机构的信用卡进行了在线支付。”
USDoD将面临刑事诉讼?
据Hackread 8月23日报道,在与Hackread的独家访谈中(其中包括黑客发来的一段简短的视频信息),USDoD承认“被CrowdStrike打败了”。USDoD黑客向Hackread.com提供了一份声明,透露了他改变人生、离开网络犯罪世界并为巴西做一些积极事情的愿望。
“恭喜Crowdstrike曝光了我的个人信息,他们来晚了,intel421 Plus和其他几家公司在Infragard黑客攻击之前就已经曝光了我的个人信息。我想说声谢谢,是时候承认我被打败了,我将退役我的球衣。是的,我是Luan。我不会逃跑,我在巴西,这是我出生的城市。我是一个极具价值的目标,也许我很快就会和负责人谈谈,但每个人都会知道,在美国国防部的背后,我和其他人一样都是人,说实话,我希望这种情况发生,我不能同时拥有多个生命,是时候为我的每一个行为负责,付出代价,不管这会让我付出多少代价。这不是我的末日。谢谢你们,再见。巴西当局别担心,我来见你们了,我不是威胁,事实上,我可以为我的国家做很多事情。”
CrowdStrike已将收集到的所有信息移交给主管当局。该公司指出,USDoD继续从公司和机构获取敏感数据,然后出售这些数据,或者勒索受害者不披露/出售这些数据。
“CrowdStrike Intelligence评估,发布有关USDoD真实身份的信息不太可能在短期内改变该行为者的注意力,因为他可能会否认该信息或最终声称他故意引导研究人员‘错误地’将他的身份与Luan BG联系起来”,该公司声明。
CrowdStrike研究人员指出,Luan一直希望在黑客活动分子和网络犯罪社区中得到认可,因此他不太可能很快停止。
据称,美国引渡USDoD的可能性基本为零。根据巴西和美国的引渡条约,美国可以要求引渡他,以对他的网络犯罪提出指控。然而,巴西有不引渡本国公民的历史,这可能会使在美国审判他的努力变得复杂。如果巴西选择不引渡,这名黑客可能仍会在巴西境内面临法律后果,具体取决于该国自己的网络犯罪法律。
至于USDoD的声明,有专家认为这是威胁行为者用来抹黑、为持续不当行为制造公关烟幕的新颖手段。
USDoD过去的辉煌战绩
USDoD近几一年多来非常活跃,声称对不同公司和机构进行了攻击。该组织是网络犯罪论坛Breach Forums的用户,因泄露空中客车航空公司、美国环境保护局、FBI InfraGard计划、LinkedIn和安全评级机构TransUnion Credit等公司员工和客户的数据库和信息而闻名。
此外,该组织表示还将有权访问与北美军事装备公司洛克希德·马丁公司和雷神公司有关的数据。
最近一次最受关注的攻击,发生在2024年8月,涉及来自美国的Jericho Inc(国家数据公共)公司。该事件导致29亿条记录被盗。包含信息的数据包总计277GB,售价为 350万美元,按当天汇率相当于1,970 雷亚尔。它包含全名、至少可以追溯到三十年前的地址历史,以及平台上输入的人的父母、兄弟姐妹和其他亲属的详细信息。
USDoD还表示,它攻击了CrowdStrike并泄露了机密数据——事实上,收集的信息已经交付给公众和该公司的客户。
有传言称,网络犯罪组织USDoD实施的攻击将使用称为勒索软件的恶意软件。在本例中,勒索软件来自另一个多产组织RansomMed。
参考资源
1、https://www.tecmundo.com.br/seguranca/288570-hacker-roubou-3-bilhoes-dados-eua-descoberto-brasileiro.htm?ab=true&
2、https://twitter.com/FalconFeedsio/status/1827080910468214855
3、https://darkwebinformer.com/threat-actor-usdod-has-allegedly-been-identified/
4、https://hackread.com/usdod-hacker-ssn-leak-reveals-brazilian-citizen/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。